Uma competição de segurança anunciada pelo Google, envolvendo a descoberta de falhas de segurança em uma nova tecnologia da empresa, dará mais de 16 mil dólares em prêmios em dinheiro e traz uma curiosidade: brasileiros não podem participar.
Também no resumo de notícias da semana: polícia alemã derruba fórum criminoso; especialista faz previsão de resultados da Pwn2Own; Mozilla e Opera corrigem brechas em seus navegadores web.
>>>> Brasileiros não podem participar de competição do Google
O Google iniciou na semana passada uma campanha que promete pagar pesquisadores de segurança que conseguirem encontrar e explorar brechas de segurança no Native Client, um programa ainda em fase de testes que permite a execução de código de máquina nativo dentro do navegador web. A própria empresa admite que ainda “não é uma tecnologia segura” -- e aparentemente a iniciativa quer mudar essa realidade. Brasileiros, no entanto, não podem participar.
Nos termos e condições da competição, o Brasil se junta a países como Irã, Síria, Cuba, Coréia do Norte, Sudão e Mianmar na lista de localidades proibidas de participar. Nenhuma razão é dada para a proibição. Além desses países, residentes da Itália e da província de Quebec, no Canadá, também estão impedidos de participar.
O Google dará um total de cinco prêmios, sendo o mais alto deles a quantia de US$8.192. O segundo prêmio é de US$4.096, o terceiro US$2.048 e o quarto e o quinto US$1.024.
O Native Client é uma tecnologia ainda em desenvolvimento do Google que permite a execução de programas nativos (executáveis do sistema operacional) dentro do navegador web. Funcionando corretamente, ela daria grande flexibilidade aos aplicativos web. Por outro lado, também pode ser facilmente explorada para fins maliciosos.
Os interessados têm até o dia 5 de maio para enviar as informações a respeito das falhas que descobriu e/ou os códigos para tirar explorar as mesmas. Cada uma das falhas será analisada por um painel de sete especialistas, liderados por Edward Felten, e os descobridores dos cinco problemas mais relevantes serão premiados.
>>>> Polícia alemã derruba fórum de cibercrime
Segundo uma reportagem do site de segurança heise, a polícia alemã derrubou um fórum criminoso anteriormente disponível no endereço “codesoft.cc”. O espaço era utilizado para compartilhamento e venda de informações e ferramentas que auxiliavam a realização de crimes digitais como roubo de senhas e cartões de crédito.
A operação contou com a ajuda de policiais suíços, que invadiram na semana passada o apartamento de um rapaz de 22 anos residente no estado de Lucerne. Ele foi acusado de ser o operador do site e criador de um software ladrão de senhas conhecido como “Codesoft PW Stealer”.
Os policiais teriam encontrado dois computadores com capacidade de armazenamento de vários terabytes e documentação detalhada da operação. Entre as informações estariam endereços IPs de visitantes do site, que serão analisados pela polícia.
Segundo autoridades alemãs, também estão sob investigação um número ainda desconhecido de suspeitos que teriam usado as informações presentes no site para realizar compras fraudulentas pela internet.
>>>> Especialista faz previsão sobre competição de segurança
Em e-mail para a lista de discussão Dailydave, o especialista em segurança Charles Miller publicou algumas previsões sobre os possíveis resultados da competição de segurança “Pwn2Own”, que testará a segurança de navegadores web e dispositivos móveis. Para Miller, o navegador Safari, da Apple, será alvo fácil: ele acredita que quatro pessoas conseguirão explorar falhas no programa. Nos dispositivos móveis, o Android será o alvo.
Miller foi o pesquisador de segurança que usou uma vulnerabilidade no Safari durante asegunda edição da Pwn2Own, no ano passado. Para ele, o Firefox e o Internet Explorer 8 sobreviverão porque o prêmio é muito pequeno para compensar o difícil trabalho de transformar os erros do software em brechas exploráveis.
Nos dispositivos móveis, o especialista acredita que o Android -- sistema operacional de código aberto do Google -- será atacado com sucesso por apenas um competidor, porque “ninguém tem um [aparelho com ele]”. Pela mesma razão, Miller acredita o BlackBerry, o Windows Mobile e o Chrome (navegador web do Google) sairão ilesos do Pwn2Own. O iPhone e o Symbian -- sistema operacional usado em vários smartphones -- estão protegidos devido a uma função de segurança chamada “heap não-executável” e não devem ser vítimas.
Durante a competição, o primeiro participante a usar uma falha ainda não conhecida para invadir um dos computadores ou dispositivos móveis disponíveis poderá levar o equipamento para casa, além de um prêmio de dez mil dólares, no caso dos celulares, ou cinco mil, nos navegadores. Diferentemente das duas edições anteriores, outros competidores poderão tentar invadir o mesmo sistema, porém não poderão mais levá-lo para casa, ficando “apenas” com o prêmio em dinheiro.
A competição Pwn2Own ocorre durante a conferência de segurança CanSecWest, agendada para os dias 16 a 20 de março.
>>>> Mozilla e Opera lançam atualizações para navegadores
Novas versões dos navegadores Opera e Firefox foram lançadas para eliminar problemas de segurança. Tanto o Firefox 3.0.7 como o Opera 9.64 corrigem brechas que podem permitir que a simples visita a um site infecte o computador do usuário e, por esse motivo, devem ser instaladas pelos seus respectivos usuários.
Curiosamente, uma brecha crítica em cada navegador tem relação com o processamento de imagens. O Firefox atualizou a 'libpng', responsável por “imprimir” na tela as imagens no fornato PNG. O Opera, por sua vez, estava com um problema no processamento de JPEGs.
Além das correções de segurança, os navegadores também trazem melhorias de estabilidade e outros bugs. O Opera também trouxe duas grandes novidades: suporta as funções de segurança DEP no Windows XP SP2 (e mais novos) e ASLR no Windows Vista. Ambas dificultam a criação de códigos que poderiam explorar as falhas no navegador.
